使用动态路由创建传统 VPN

本页面介绍如何使用动态路由创建传统 VPN 网关和一个使用边界网关协议 (BGP) 的隧道。

借助动态路由,您无需指定本地或远程流量选择器,而是使用 Cloud Router 路由器。路由信息会动态交换。

如需详细了解 Cloud VPN,请参阅以下资源:

要求

一般准则

创建云端路由器

配置新的高可用性 VPN 网关时,您可以创建新的 Cloud Router 路由器,也可以将现有 Cloud Router 路由器与现有 Cloud VPN 隧道或 VLAN 连接搭配使用。但是,由于连接的特定 ASN 要求,您使用的 Cloud Router 路由器必须尚未管理与合作伙伴互连连接关联的 VLAN 连接的 BGP 会话。

准备工作

在 Google Cloud 中设置以下各项,以更轻松地配置 Cloud VPN:

  1. 登录您的 Google Cloud 帐号。如果您是 Google Cloud 新手,请创建一个帐号来评估我们的产品在实际场景中的表现。新客户还可获享 $300 赠金,用于运行、测试和部署工作负载。
  2. 在 Google Cloud Console 的项目选择器页面上,选择或创建一个 Google Cloud 项目。

    转到“项目选择器”

  3. 确保您的 Cloud 项目已启用结算功能。 了解如何确认您的项目是否已启用结算功能

  4. 安装并初始化 Cloud SDK
  1. 如果您使用的是 gcloud 命令行工具,请使用以下命令设置项目 ID。此页面上的 gcloud 说明假设您在发出命令前已设置了项目 ID。

        gcloud config set project PROJECT_ID
        
  1. 您还可以通过运行以下命令来查看已设置的项目 ID:

        gcloud config list --format='text(core.project)'
        

创建自定义 VPC 网络和子网

创建传统 VPN 网关和隧道之前,请在传统 VPN 网关所在区域创建一个 Virtual Private Cloud (VPC) 网络和至少一个子网。

创建网关和隧道

VPN 设置向导是创建传统 VPN 网关的唯一控制台选项。该向导包含创建传统 VPN 网关、隧道、BGP 会话和外部 VPN 网关资源所需的所有配置步骤。不过,其中某些步骤可稍后再完成。例如,配置 BGP 会话。

创建 VPN 网关按钮仅支持创建高可用性 VPN 网关。

控制台

配置网关

  1. 转到 Google Cloud Console 中的 VPN 页面。
    转到 VPN 页面
    1. 如果您是首次创建网关,请选择创建 VPN 连接按钮。
    2. 选择 VPN 设置向导
  2. 选择传统 VPN 的单选按钮。
  3. 点击继续
  4. 创建 VPN 连接页面上,指定以下网关设置:
    • 名称 - VPN 网关的名称。该名称以后无法更改。
    • 说明 -(可选)添加说明。
    • 网络 - 指定要在其中创建 VPN 网关和隧道的现有 VPC 网络。
    • 区域 - Cloud VPN 网关和隧道是区域对象。选择网关所在的 Google Cloud 地区。不同区域中的实例和其他资源可按照路由顺序使用隧道发送出站流量。为获得最佳性能,网关和隧道应位于相关 Google Cloud 资源所在的同一区域中。
    • IP 地址 - 创建或选择现有的区域外部 IP 地址

配置隧道

  1. 隧道部分为新隧道项指定以下内容:
    • 名称 - VPN 隧道的名称。该名称以后无法更改。
    • 说明 - 输入说明(可选)。
    • 远程对等 IP 地址 - 指定对等 VPN 网关的外部 IP 地址。
    • IKE 版本 - 选择对等 VPN 网关支持的相应 IKE 版本。推荐选择 IKEv2(如果受对等设备支持)。
    • 共享密钥 - 提供用于身份验证的预共享密钥。Cloud VPN 隧道的共享密钥必须与在对等 VPN 网关上配置对应隧道时使用的共享密钥一致。您可以按照这些说明生成加密型强共享密钥。
    • 路由选项 - 选择动态 (BGP)
    • Cloud Router 路由器 - 如果您尚未创建,请指定如下所述的选项创建一个新的 Cloud Router 路由器。如果 Cloud Router 路由器尚未管理与“合作伙伴互连”关联的互连连接的 BGP 会话,则可以使用现有的 Cloud Router 路由器。如果您选择现有 Cloud Router 路由器,您仍将创建新的 BGP 会话,但 Google ASN 是相同的。要创建新的 Cloud Router 路由器,请指定以下详细信息:
      • 名称 - Cloud Router 路由器的名称。该名称以后无法更改。
      • 说明 - 输入说明(可选)。
      • Google ASN - 选择专用 ASN645126553442000000004294967294)。此 Google ASN 会用于由 Cloud Router 管理的所有 BGP 会话。此 ASN 以后无法更改。
      • 点击保存并继续
    • BGP 会话 - 点击铅笔图标,然后指定以下详细信息。完成后,点击保存并继续
      • 名称 - BGP 会话的名称。该名称以后不能更改。
      • 对等 ASN - 您的对等 VPN 网关使用的公共 ASN 或专用 ASN645126553442000000004294967294)。
      • 通告的路由优先级 -(可选)Cloud Router 路由器在通告“到 Google Cloud”的路由时使用的基本优先级。如需了解详情,请参阅通告的前缀和优先级。您的对等 VPN 网关会将这些值作为 MED 值导入。
      • Cloud Router BGP IPBGP 对等 IP - 两个 BGP 接口 IP 地址必须是属于 169.254.0.0/16 块的通用 /30 CIDR 的链路本地 IP 地址。每个 BGP IP 定义用于交换路由信息的相应链路本地 IP。例如,169.254.1.1169.254.1.2 属于通用 /30 块。
  2. 如需在同一网关上创建更多隧道,请点击添加隧道并重复以上步骤。您可以稍后添加更多隧道
  3. 点击创建

gcloud


在以下命令中替换以下内容:

  • PROJECT_ID 替换为项目的 ID。
  • NETWORK 替换为 Google Cloud 网络的名称。
  • REGION 替换为您需要在其中创建网关和隧道的 Google Cloud 区域
  • (可选)--target-vpn-gateway-region 是运行传统 VPN 网关的区域。其值应与 --region 相同。如果未指定,则系统会自动设置此选项。该选项会替换此命令调用中的默认计算/区域属性值。
  • GW_NAME 替换为网关的名称。
  • GW_IP_NAME 替换为网关所用外部 IP 的名称

完成以下命令序列以创建 Google Cloud 网关:

  1. 为 Cloud VPN 网关创建资源:

    1. 创建“目标 VPN 网关”对象。

      gcloud compute target-vpn-gateways create GW_NAME \
          --network NETWORK \
          --region REGION \
          --project PROJECT_ID
      
    2. 保留一个区域外部(静态)IP 地址:

      gcloud compute addresses create GW_IP_NAME \
          --region REGION \
          --project PROJECT_ID
      
    3. 请记下此 IP 地址(以便在配置对等 VPN 网关时使用):

      gcloud compute addresses describe GW_IP_NAME \
          --region REGION \
          --project PROJECT_ID \
          --format='flattened(address)'
      
    4. 创建三个转发规则。这些规则指示 Google Cloud 将 ESP (IPsec)、UDP 500 和 UDP 4500 流量发送到网关。

       gcloud compute forwarding-rules create fr-GW_NAME-esp \
           --ip-protocol ESP \
           --address GW_IP_NAME \
           --target-vpn-gateway GW_NAME \
           --region REGION \
           --project PROJECT_ID
      
      gcloud compute forwarding-rules create fr-GW_NAME-udp500 \
          --ip-protocol UDP \
          --ports 500 \
          --address GW_IP_NAME \
          --target-vpn-gateway GW_NAME \
          --region REGION \
          --project PROJECT_ID
      
      gcloud compute forwarding-rules create fr-GW_NAME-udp4500 \
          --ip-protocol UDP \
          --ports 4500 \
          --address GW_IP_NAME \
          --target-vpn-gateway GW_NAME \
          --region REGION \
          --project PROJECT_ID
      
  2. 如果您尚未创建 Cloud Router 路由器,请使用以下命令进行创建。替换如下所示的选项。如果 Cloud Router 路由器尚未管理与“合作伙伴互连”关联的互连连接的 BGP 会话,则可以使用现有的 Cloud Router 路由器。

    • ROUTER_NAME 替换为 Cloud Router 路由器的名称。
    • GOOGLE_ASN 替换为专用 ASN645126553442000000004294967294)。Google ASN 会用于同一个 Cloud Router 路由器上的所有 BGP 会话,且以后无法更改。
      gcloud compute routers create ROUTER_NAME \
      --asn GOOGLE_ASN \
      --network NETWORK \
      --region REGION \
      --project PROJECT_ID
    
  3. 使用以下详细信息创建 Cloud VPN 隧道:

    • TUNNEL_NAME 替换为隧道的名称。
    • ON_PREM_IP 替换为对等 VPN 网关的外部 IP 地址。
    • 对于 IKEv1,将 IKE_VERS 替换为 1;对于 IKEv2,则替换为 2
    • SHARED_SECRET 替换为您的共享密钥。Cloud VPN 隧道的共享密钥必须与在对等 VPN 网关上配置对应隧道时使用的共享密钥一致。您可以按照这些说明生成加密型强共享密钥。
    • ROUTER_NAME 替换为您要用于管理 Cloud VPN 隧道路由的 Cloud Router 路由器的名称。在创建隧道之前,Cloud Router 路由器必须已经存在。

      gcloud compute vpn-tunnels create TUNNEL_NAME \
          --peer-address ON_PREM_IP \
          --ike-version IKE_VERS \
          --shared-secret SHARED_SECRET \
          --router ROUTER_NAME \
          --target-vpn-gateway GW_NAME \
          --region REGION \
          --project PROJECT_ID
      
  4. 通过创建接口和 BGP 对等体,为 Cloud Router 路由器配置 BGP 会话。选择以下方法之一:

    • 让 Google Cloud 自动选择链路本地 BGP IP 地址

      1. 将新接口添加到 Cloud Router 路由器。通过替换 INTERFACE_NAME 为接口提供名称。

        gcloud compute routers add-interface ROUTER_NAME \
            --interface-name INTERFACE_NAME \
            --vpn-tunnel TUNNEL_NAME \
            --region REGION \
            --project PROJECT_ID
        
      2. 将对等 BGP 添加到接口。将 PEER_NAME 替换为对等体的名称,并将 PEER_ASN 替换为为对等 VPN 网关配置的 ASN。

        gcloud compute routers add-bgp-peer ROUTER_NAME \
            --peer-name PEER_NAME \
            --peer-asn PEER_ASN \
            --interface INTERFACE_NAME \
            --region REGION \
            --project PROJECT_ID
        
      3. 列出 Cloud Router 路由器选择的 BGP IP 地址。如果您向现有 Cloud Router 路由器添加了新接口,则应使用最高索引编号列出新接口的 BGP IP 地址。对等 IP 地址是配置对等 VPN 网关时应使用的 BGP IP。

        gcloud compute routers get-status ROUTER_NAME \
             --region REGION \
             --project PROJECT_ID \
             --format='flattened(result.bgpPeerStatus[].ipAddress, \
             result.bgpPeerStatus[].peerIpAddress)'
        

        管理单个 Cloud VPN 隧道(索引 0)的 Cloud Router 路由器的预期输出如下所示,其中 GOOGLE_BGP_IP 表示 Cloud Router 路由器接口的 BGP IP,ON_PREM_BGP_IP 表示其对等体的 BGP IP。

        result.bgpPeerStatus[0].ipAddress:     GOOGLE_BGP_IP
        result.bgpPeerStatus[0].peerIpAddress: ON_PREM_BGP_IP
        
    • 手动分配与 Google Cloud BGP 接口和对等体关联的 BGP IP 地址

      1. 确定 169.254.0.0/16 范围内 /30 块中的一对链路本地 BGP IP 地址。通过替换 GOOGLE_BGP_IP,在下一命令中将其中一个 BGP IP 地址分配给 Cloud Router 路由器。另一个 BGP IP 地址用于您的对等 VPN 网关。您必须将设备配置为使用该地址,并在下面的最后一个命令中替换 ON_PREM_BGP_IP

      2. 将新接口添加到 Cloud Router 路由器。通过替换 INTERFACE_NAME 为接口指定名称。

        gcloud compute routers add-interface ROUTER_NAME \
            --interface-name INTERFACE_NAME \
            --vpn-tunnel TUNNEL_NAME \
            --ip-address GOOGLE_BGP_IP \
            --mask-length 30 \
            --region REGION \
            --project PROJECT_ID
        
      3. 将对等 BGP 添加到接口。将 PEER_NAME 替换为对等体的名称,并将 PEER_ASN 替换为为对等 VPN 网关配置的 ASN。

        gcloud compute routers add-bgp-peer ROUTER_NAME \
            --peer-name PEER_NAME \
            --peer-asn PEER_ASN \
            --interface INTERFACE_NAME \
            --peer-ip-address ON_PREM_BGP_IP \
            --region REGION \
            --project PROJECT_ID
        

完成配置

在使用新的 Cloud VPN 网关及其关联的 VPN 隧道之前,请完成以下步骤:

  1. 设置对等 VPN 网关并配置相应的隧道。如需了解相关说明,请参阅以下内容:
  2. 根据需要在 Google Cloud 和对等网络中配置防火墙规则
  3. 检查您的 VPN 隧道和转发规则的状态

应用限制对等 VPN 网关 IP 地址的组织政策限制条件

您可以创建 Google Cloud 组织政策限制条件,用于定义通过传统 VPN 或高可用性 VPN 隧道允许或拒绝对等 VPN 网关的 IP 地址集。此限制条件包含这些对等 IP 地址的许可名单或拒绝名单,这只会影响在您应用限制条件后创建的 Cloud VPN 隧道。如需了解详情,请参阅通过 Cloud VPN 隧道限制对等 IP 地址

如需创建组织政策并将其与组织、文件夹或项目关联,请使用后续部分中列出的示例,并按照使用限制条件中的步骤操作。

所需权限

若要在组织级或项目级设置对等 IP 地址限制条件,您必须先获得组织的 Organization Policy Administrator 角色 (roles/orgpolicy.policyAdmin)。

限制来自特定对等 IP 地址的连接

如需通过 Cloud VPN 隧道仅允许特定对等 IP 地址,请执行以下步骤:

  1. 运行以下命令,查找您的组织 ID:
    gcloud organizations list

    命令输出应如下所示:

          DISPLAY NAME             ID
          example-organization     29252605212
        
  2. 创建一个定义政策的 JSON 文件,如以下示例所示:

         {
           "constraint": "constraints/compute.restrictVpnPeersIPs",
           "listPolicy": {
             "allowedValues": [
               "100.1.1.1",
             ],
           }
         }
       
  3. 通过使用 Resource Manager gcloud 命令 set-policy、传入 JSON 文件并使用您在上一步中找到的 ORGANIZATION_ID,设置组织政策。

限制来自任何对等 IP 地址的连接

如需禁止创建任何新的 Cloud VPN 隧道,请按照此示例限制条件中的步骤操作:

  1. 在您要为其设置政策的资源层次结构中查找组织 ID 或节点 ID。
  2. 创建一个 JSON 文件,如以下示例所示:

        {
          "constraint": "constraints/compute.restrictVpnPeersIPs",
          "listPolicy": {
            "allValues": "DENY"
          }
        }
    
  3. 运行用于限制特定对等 IP 地址的同一命令,以传入 JSON 文件。

后续步骤

  • 要查找维护 VPN 隧道和网关的资源,请参阅维护 VPN 方法指南
  • 如需使用高可用性和高吞吐量场景或多个子网方案,请参阅高级配置
  • 如需帮助解决使用 Cloud VPN 时可能会遇到的常见问题,请参阅问题排查